* FP発生不具合密度:ファンクションポイント(機能規模)当たりに発生する不具合(バグ)の数
品質保証体制の専門スタッフがいるプロジェクトの方が,
そうでないプロジェクトに比べ,プロダクトの信頼性が高い
4.8
12.2
サブベンダ アウトソーサ 元請けベンダ システム子会社 システム開発担当 部門長
関連会社
システム推進担当 業務推進担当 部門長
担当役員 社長
部署等/ 役割(ロール)
サブベンダ アウトソーサ 元請けベンダ
ベンダ
システム子会社 システム開発担当 部門長
情報 システム 部門
関連会社
システム推進担当 業務推進担当 部門長
業務部門
担当役員 社長
経営層
部署等/ 役割(ロール)
社内教育
誰が,どう使う?
<出典(縦軸)> SEC BOOKS 「経営者が参画する要求 品質の確保 ~ 超上流から攻めるIT化の勘どころ
~」,p.37 の 3.2(1)項、p.41 の 4.1
組織・
体制 の
整備 調達
時の 指示 事項
レビュー
・試験 項目
調達 時の 確認 事項 運用
手順 の 整備
開発 手順 の 整備
(事例に基づく)教訓の活用例
トラブ ル発 生時 の 原因 推定
類似 事例
組織に“安全文化”を醸成
【教訓タイトル】
<抽象的な表現の例>
システムの部分変更(に伴う新旧混在)時に(非変更部分との)整合性を確認する.
<具体的な表現の例>
変化に対応して(プログラム/システム定義データ中の)定数をチェックする.
★:本質
【説明】
交換(部分変更)する構成要素(ソフトウェアを含む)は,交換前のものと互換 性があるという仕様になっていても,機能やインタフェースが一部異なっている かもしれない.特に,新機能が追加されていることがよくある.異なる技術が用 いられている場合には,設計思想そのものが異なっていることもある.また,機 能は同じでも,性能等の非機能特性が異なるケースは多い.
したがって,交換する構成要素と,システムの他の部分(交換しない部分)とが 整合するかについて,様々な視点から確認する必要がある.
特に,性能差がある場合,タイマ監視等を行う処理においては,監視タイマ値の 妥当性を入念にチェックし,チューニングをやり直す必要がある.特に,新しい 構成要素の特性が性能に影響する場合を見逃してはならない.
共通コンテキスト 参考
参考:教訓の一例(1/5)
【問題(障害事例)】
◆概要
2013年7月18日,ある鉄道会社にて,列車運行を管理するシステムのうち,
ダイヤに基づき各駅の信号機を自動制御する「自動列車進路制御装置(PRC)」の 保守時に異常が発生.その後バックアップ系統への切替えに失敗し、装置が停止.
管轄する3路線の鉄道が2時間以上運行できなくなり,385本が運休,約11.1万 人に影響.
◆状況
午前4時,装置の部品(今回の要因となった部品とは別のもの)の交換作業を 始めると,アラームが鳴動し動作停止.
復旧のため,機器内に2つある処理系統のうち上記部品交換を行ったのとは別 の系統(バックアップ系統)を起動させようとしたものの,起動せず.
交換対象の部品を戻して再起動する等を試みたが,装置は復旧せず.
5時半頃に予備の装置を使ってシステム全体の復旧に取り掛かり,6時54分 に復旧.7時半頃から順次運転を再開.
(個別)コンテキスト
<参考>
新聞等の報道記事
参考
参考:教訓の一例(2/5)
【(直接の)原因】
自動列車進路制御装置(PRC)のディスクとして,もとはHDDが使用されていた が,2010年からSSDに交換されていた.(交換当時は,現用・待機両系停止の 状態で装置を起動する試験のみを実施し,潜在リスクを発見できず.)
その後,PRC内部のある故障部品を交換する必要が生じ,現用系のみを停止し て実施することとした.工場での事前確認では,同じ装置がなかったため,HDD 搭載装置での試験を行い,SDD搭載装置ではできなかった.このような状況で,
現場で実際の交換作業において,PRCの現用系停止状態で待機系を起動させた.
装置の仕様上,初期起動時に,CPU上のOSがディスクにリセット要求を行い,
その完了をタイマ監視(タイマ値=200ms)で待つ.HDDの場合には1msで完 了するが,今回の装置に搭載されていたSSDでは300msが必要であった.
したがって,タイムアウトを検出したOSはディスクの異常と判断して停止要求 を行い,SSDはそれを不正コマンドとして受け付けず,外部からのコマンドを拒 否するモードに移行.
【今回の対処】
OSの監視タイマ値を200msから360msに変更. <参考>
(1) 日経エレクトロニクス,2013.8.9.
(2) 日経コンピュータ,2013.9.10.
(個別)コンテキスト 参考
参考:教訓の一例(3/5)
【教訓活用時のコンテキスト】
(1) 比較的大規模なシステムにおいて,システムの構築あるいは更改を段階的に 行う場合,版や性能等の異なる構成要素が混在することになるケース
(2) 比較的長期間使用しているシステムにおいて,あるいは技術進展の激しい分 野において,一部の部品を当時の最新の(or 通常出回っている)ものと交換 するケース
【対策(例)】
◆コンポーネント・レベル
・ミスを起こさない:特にメンテナンス時における,ハード担当と制御ソフト担 当とのコミュニケーションの徹底(気づかせるための会議,文書の工夫等)
・ミスを逃さない :試験時の思い込み(“互換性”への過信)排除(第三者の関 与等).標準規格の規定事項/規定外事項の明確化
◆システム・レベル
・ミスを起こさない:変化点を捉えた,俯瞰的かつ系統的な設計レビュー
・ミスを逃さない :試験時における,本番環境との相違点に関するリスク評価
共通コンテキスト 参考
参考:教訓の一例(4/5)
【教訓の活用(例) 】
(1) 比較的大規模なシステムにおいて,システムの構築あるいは更改を段階的に 行う場合,版や性能等の異なる構成要素が混在することになるケース
多数のサーバと端末装置から成るシステムにおいて,当初は全体を一括で構 築したものの,端末の更改を,毎年一部ずつ順に行うような場合,新規端末の性 能が当初端末より高い場合には,サーバとの通信における応答待ちタイマ値等を チューニングし直す必要があるかどうか,検討する.
(2) 比較的長期間使用しているシステムにおいて,あるいは技術進展の激しい分 野において,一部の部品を当時の最新の(or 通常出回っている)ものと交換 するケース
装置内のメモリを増量のために大容量チップに交換する際,大容量のために 前のものよりアクセス時間が若干長い仕様となっている場合,CPUやDMAデバイ スとの整合性を確認する.
(個別)コンテキスト 参考
参考:教訓の一例(5/5)
各分野・業界の団体等 IPA/SEC,地域団体,応用分野等
参加者:業界内(会員)企業 目的:障害事例情報に関する 分析と対策等の共有
参加者:多様な業界からの企業等 目的:障害事例情報に関する 分析と対策等の共有 事例紹介(一部)
業界横断的視点からのコメント
教訓集(例)
各業界向け
(各業界団体等内での公開)
教訓集
全業界向け
(一般公開)
取りまとめ
取りまとめ 必要に応じ 取込み
事例群
事例群
教訓の説明 他業界の教訓等の
ナレッジを共有 フィードバック
相互に参照できるような仕組み
公開された 教訓集,等
業界を超えて活用できるよう普遍化 または
目指す社会に向けて
5.今後の取組み
障害事例情報に基づく教訓共有の仕組みの展開(案)
5.今後の取組み
分野・業界A内 の情報共有
分野・業界E内 の情報共有 分野・業界D内
の情報共有
分野・業界B内 の情報共有
分野・業界F内 の情報共有 分野・業界C内
の情報共有
企業a1 企業
a2 企業
a3
企業 a4
企業
a5 企業 a6
企業 b2
企業 b1
・・・
企業 d1
分野・業界にまた がる情報共有
企業 d2
企業
d3 企業
e3 企業
e2
企業 e1
企業 c1
企業 c2
企業 f1
企業 f4
企業 f3 企業
f2
企業 f5
・・・
応用分野に関す る情報共有
地域団体による 情報共有
教訓
・・・
企業 g1
企業 h1
目指す社会に向けて
障害事例情報に基づく教訓共有の仕組みの展開イメージ
・自社事例を“教訓”化するための議論の中で,“気づき”を得ることが あった.
・他分野の事例紹介では,鉄道の線路を送電線に置き換えて考えてい る.
・他分野の事例の中に参考になるところがあった.
・他分野の事例ではあるが,今回の障害に関連する情報として,(特に 外国製の)パッケージ利用における留意点を知りたい.
・クラウドの活用が拡がりつつある中で,まだあまり事例が多くない障害 情報の共有ができればありがたい.
・今回の自身の障害の教訓としては,システム停止時の手動での業務 のやり方を決めて,普段から訓練しておく必要がある,ということ.
6.まとめ(に代えて)
共有活動への参加者の声,参加予定者からの期待等
6.まとめ(に代えて)
失敗に学ぶ,システムの信頼性向上のために,
経験の共有にご理解とご協力をお願いします お願い
情報処理システム高信頼化教訓集-2013年度版-
(ITサービス編)
(製品・制御システム編)
http://www.ipa.go.jp/sec/reports/20140513_2.html http://www.ipa.go.jp/sec/reports/20140513.html
一般財団法人関西情報センター(KIIS)による障害事例情報共有の取組みに期待します!